PCI-DSS vs. ISO 27001 Parte 1 – Similaridades e Diferenças

Se você está perguntando o que são ISO 27001, PCI-DSS e segurança da informação, agora é a hora de aprender. Primeiramente, recomendo que você leia este artigo: O que é a ISO 27001? Basicamente, existem muitas normas em segurança da informação, mas duas que têm uma relevância especial por seu escopo e por seu impacto internacional são a ISO 27001 e PCI-DSS. Neste artigo veremos uma descrição geral e a estrutura de cada uma.

PCI-DSS ou ISO 27001?

É possível que muitas organizações tenham esta questão em mente, e a resposta obviamente dependerá das necessidades de cada negócio. De qualquer forma, vamos a elas:

  • ISO 27001 é uma norma internacional, com reconhecimento mundial, que estabelece os requisitos para o estabelecimento de um Sistema de Gestão de Segurança da Informação. Ela se aplica a qualquer tipo de organização, e sua implementação e certificação é opcional, então não é obrigatória para uma organização.
  • PCI-DSS é uma norma de segurança de dados para o setor de cartões de crédito. Para estas organizações, a conformidade com a norma é obrigatória, embora dependendo do volume de cartões processados, diferentes requisitos ou obrigações podem ser aplicáveis.

Uma das coisas mais importantes que a ISO 27001 possui, e a PCI-DSS não, é o PDCA (Plan, Do, Check, Act), que é estabelecido em qualquer sistema de gestão baseado na ISO. Assim, tenha em mente que a ISO 27001 é melhor para aquelas organizações onde já existe um Sistema de gestão, e que querem complementá-lo com a segurança da informação (ou não possuem um sistema de gestão e o querem para proteger a informação), enquanto a PCI-DSS é mais adequada, e obrigatória, para aquelas organizações que trabalham com cartões de crédito.

Estrutura da PCI-DSS

A PCI-DSS consiste de 13 grupos de controles (12 requisitos + 1 anexo), e mais de 200 controles que estão focados na segurança dos dados de cartões de crédito:

  • Requisito 1: Instalar e manter configuração de firewall para proteger os dados do titular do cartão
  • Requisito 2: Não fazer uso de padrões fornecidos por vendedores em senhas de sistemas e outros parâmetros de segurança
  • Requisito 3: Proteger dados do titular armazenados
  • Requisito 4: Encriptar a transmissão de dados do titular do cartão através de redes abertas / públicas
  • Requisito 5: Proteger todos os sistemas contra malware e regularmente atualizar software ou programas anti-virus
  • Requisito 6: Desenvolver e manter sistemas e aplicações seguros
  • Requisito 7: Restringir o acesso a dados do titular do cartão de acordo com a necessidade de saber do negócio
  • Requisito 8: Identificar e autenticar o acesso a componentes do sistema
  • Requisito 9: Restringir o acesso físico a dados do titular do cartão
  • Requisito 10: Rastrear e monitorar todos os acessos a recursos de rede e dados de titulares de cartão
  • Requisito 11: Regularmente testar a segurança de sistemas e processos
  • Requisito 12: Manter uma política que trate de segurança da informação para todo o pessoal
  • Requisito A.1: Provedores de hosts compartilhados devem proteger o ambiente dos dados dos titulares de cartão

O conteúdo desta norma consiste de 112 páginas, está disponível gratuitamente, e pode ser consultado / baixado do website oficial do PCI Security Standard Council. O documento indica os requisitos e provê um guia para estar em conformidade com eles.

Similaridades e diferenças

Por outro lado, a ISO 27001 consiste de 11 cláusulas (iniciando na 0 e terminando na 10) que estão relacionadas com o Sistema de gestão, e também possui 13 grupos de controles e 114 controles de segurança genéricos que podem ser aplicados em qualquer tipo de organização. Leia este artigo para ter uma visão geral dos controles de segurança: Visão geral do Anexo A da ISO 27001:2013. Muitos destes controles têm similaridades coma PCI-DSS:

  • A.5 Políticas de Segurança da Informação (está relacionada ao requisito 12 da PCI-DSS)
  • A.6 Organização da Segurança da Informação (está relacionada ao requisito 12 da PCI-DSS)
  • A.7 Segurança em Recursos Humanos (está relacionada ao requisito 12 da PCI-DSS)
  • A.8 Gestão de ativos (está relacionada ao requisito 12 da PCI-DSS)
  • A.9 Controle de acesso (está relacionada ao requisito 7 da PCI-DSS)
  • A.10 Criptografia (está relacionada ao requisito 4 da PCI-DSS)
  • A.11 Segurança física e do ambiente (está relacionada ao requisito 9 da PCI-DSS)
  • A.12 Segurança nas operações (está relacionada aos requisitos 1, 5, 10 e 11 da PCI-DSS)
  • A.13 Segurança nas comunicações (está relacionada ao requisito 4 da PCI-DSS)
  • A.14 Aquisição, desenvolvimento e manutenção de sistemas (está relacionada ao requisito 6 da PCI-DSS)
  • A.15 Relacionamento na cadeia de suprimento
  • A.16 Gestão de incidentes de segurança da informação
  • A.17 Aspectos da segurança da informação na gestão da continuidade do negócio
  • A.18 Conformidade

O conteúdo desta norma consiste de 30 páginas, e está disponível a partir da página principal da ISO, mas você precisa pagar por ela. O documento apenas indica os requisitos, mas se você quer saber como você pode estar em conformidade com eles, outra norma é necessária: ISO 27002, a qual é um código de boas práticas.

Como usá-las?

Assim, como você pode ver, existem muitas similaridades entre ambas as normas, por exemplo a melhoria continua da ISO 27001, i.e., os melhores controles gerais de segurança da ISO 27002 e os melhores controles controles com relação a cartões de crédito da PCI-DSS. Existem muitas organizações que trabalham com ambas as normas usando as vantagens das duas, e oferecendo serviços a seus clientes com a melhor segurança. Assim, tendo em mente que elas se complementam muito bem, e que para um esforço aceitável você ganha muito, talvez seja uma boa ideia considerar a implementação das duas.

Para saber como implementar a ISO 27001, veja este ISO 27001 Lead Implementer Online Course.

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Antonio Jose Segovia
Autor
Antonio Jose Segovia
Antonio Jose Segovia is an IT Engineer, and he has many professional certifications in the IT sector. He is also ISO 27001 IRCA and Lead Auditor qualified by BUREAU VERITAS in ISO 27001, ISO 20000, ISO 22301, ISO 27018, GDPR, and TISAX, as well as being an expert in information security, an ethical hacker, and a university professor in an online Master of Information Security program. With more than 10 years of experience in the IT sector, he has visited companies of all kinds in Spain, Portugal, Italy, France, United Kingdom, USA, Chile, Peru, and Costa Rica.